目前,越来越多的企业都通过Internet建立起基于Web的企业信息管理系统,从而理顺工作流程,加强与客户的联系,提高运营效率,增强企业的竞争力;与此同时,企业也对信息管理系统的安全性提出了很高的要求。本文以这类问题作为研究重点,具体实现了一个适合企业权限管理的系统。在本文中,作者首先分析了基于Web的企业信息管理系统存在的安全管理方面的困难,比如:1企业结构复杂,人员众多,岗位升降、任务变动、流动性大等特点,使得权限管理工作繁琐混乱;2由于互联网上存在各种不安全因素,用户也复杂多样,使得系统面临着来自内、外两方面的安全威胁,在考虑应用级系统安全性时,还需特别处理通过直接输入网页地址来访问系统中资源的情况。作者通过在系统中引入权限管理子系统这一模块,对用户的授权与认证过程进行统一协调管理,很好地解决了以上问题。经过分析比较目前已有的访问控制方法,比如:自主访问控制(DAC)、强制访问控制(MAC)等,最终借鉴更适合企业信息系统的访问控制方法一基于角色的访问控制(RBAC),结合中国普天的实际需求,提出了企业访问控制模型,以此作为普天权限管理系统实现的基础,从而使得权限维护管理具备了方便、灵活的特点。另外,作者在系统实现时,采用了当前流行的Web开发技术:Struts+Hibernate,使表示逻辑层和业务逻辑层相分离,系统更趋模块化,更容易维护,提高了系统移植性和扩展性。在文章的第五章中,通过UML类图,数据库图,各实现原理图,以及核心代码展示,详细描述了权限管理系统的实现过程。实践证明,该权限管理子系统在《普天项目信息管理系统》中取得了满意的效果。